Новая программа-вымогатель GoodWill заставляет жертв жертвовать деньги и одежду бедным

Исследователи кибербезопасности раскрыли новый штамм программы-вымогателя под названием GoodWill , который вынуждает жертв делать пожертвования на социальные нужды и оказывать финансовую помощь нуждающимся людям.

«Группа вымогателей выдвигает очень необычные требования в обмен на ключ дешифрования», — заявили исследователи из CloudSEK в отчете, опубликованном на прошлой неделе. «Группа, похожая на Робин Гуда, утверждает, что заинтересована в помощи менее удачливым, а не в вымогательстве у жертв по финансовым мотивам».

Программа-вымогатель, написанная на .NET, была впервые идентифицирована базирующейся в Индии фирмой по кибербезопасности в марте 2022 года, при этом инфекции делали конфиденциальные файлы недоступными без их расшифровки. Вредоносное ПО, использующее для шифрования алгоритм AES, также примечательно тем, что спит в течение 722,45 секунд, чтобы помешать динамическому анализу.

За процессом шифрования следует отображение многостраничной записки с требованием выкупа, в которой жертвы должны выполнить три социально ориентированных действия, чтобы получить набор для расшифровки.

Это включает в себя пожертвование новой одежды и одеял бездомным, доставку любых пяти детей из малообеспеченных семей в Domino’s Pizza, Pizza Hut или KFC для угощения, а также оказание финансовой поддержки пациентам, которые нуждаются в срочной медицинской помощи, но не имеют финансовых средств для этого. так.

Кроме того, жертв просят записывать действия в виде скриншотов и селфи и размещать их в качестве доказательств в своих учетных записях в социальных сетях.

«После того, как все три действия завершены, жертвы также должны написать заметку в социальных сетях (Facebook или Instagram) о том, как вы превратились в доброго человека, став жертвой программы-вымогателя под названием GoodWill», — сказали исследователи.

Нет известных жертв GoodWill, и их точная тактика, методы и процедуры (TTP), используемые для облегчения атак, пока неясны.

Также неизвестна личность злоумышленника, хотя анализ адреса электронной почты и сетевых артефактов позволяет предположить, что операторы из Индии и говорят на хинди.

Дальнейшее расследование образца программы-вымогателя также выявило значительное совпадение с другим штаммом на базе Windows под названием HiddenTear , первой программой-вымогателем, исходный код которой был открыт в качестве доказательства концепции (PoC) еще в 2015 году турецким программистом.

«Операторы GoodWill могли получить доступ к этому, что позволило им создать новую программу-вымогатель с необходимыми модификациями», — заявили исследователи.

Источники:
https://thehackernews.com/2022/05/new-goodwill-ransomware-forces-victims.html